ISO 27001 standardının 2013 revizyonunda neler değişiyor?11Kasım

ISO 27001 standardının 2013 revizyonunda neler değişiyor?

ISO 27001 ve ISO 27002 Bilgi Güvenliği Yönetim Sistemi Standartlarının temelleri BS 7799 standardına dayanmaktadır. BS 7799 BSI (British Standards Institution) 1995 yılında yayınlanmış olup iki parçadan oluşmaktaydı.
 

Birinci parça yani BS 7799-1 Bilgi güvenliği yönetimi için en iyi uygulamaları içermekteydi. 2000 yılında bu standart ISO tarafından kabul edilerek ISO 17799 “Bilgi Teknolojisi - Bilgi Güvenliği Yönetimi İçin Uygulama Prensipleri” olarak yayınlanmıştır. ISO 17799 2007 yılında ISO 27000 serisi içine ISO 27002 olarak dahil edilmiştir.
 

İkinci parça ise BSI tarafından BS 7799 – 2 “Bilgi Güvenliği Yönetim Sistemi Gereksinimleri” adı altında 1999 yılında yayınlanmıştır. Bu standart BGYS’nin nasıl kurulması gerektiği üzerinde durmuştur. 2005 yılında ise ISO tarafından ISO 27001 “Bilgi Güvenliği Yönetim Sistemi Gereklilikleri” adıyla yayınlanmıştır. ISO 27001 ve 27002 standartlarının en güncel revizyonları ise 25.09.2013 tarihinde yayınlanmıştır.
 

ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardının 2013 revizyonu, beraberinde bazı değişiklikleri de getirdi. Bu yazıda genel olarak nelerin değiştiği, belgelendirme ve belge yenilemesi sürecinde şirketleri neler beklediği anlatılmaktadır.
 

Standardın yeni versiyonu, değişik sektör ve büyüklükteki firmaların artan bilgi güvenliği ve güvenlik tehditleri konularına uyum sağlamalarını destekleyecek şekilde hazırlanmıştır. Yeni revizyon sadece IT hizmetlerini kapsayan bilgi güvenliği kapsamını değiştirmiş, insan faktörü gibi diğer bilgi güvenliği tehditlerini de kapsama eklemiştir.  Ayrıca risk değerlendirme bölümü de değiştirilmiştir. Yazımızın ilerleyen bölümlerinde bu konuyla ilgili de bilgi vermeye çalıştık.
 

ISO 27001:2013, ilk olarak ISO22301:2012 –İş Sürekliliği Yönetim Sistemi ile gelen Annex SL ile uyumlu olacak şekilde hazırlanmıştır.
 

Annex SL Nedir?

ISO yıllar boyunca birbirinden farklı kapsamlarda birçok yönetim sistemi standardı yayınlamıştır. Bu standartların konuları, kaliteden çevreye, bilgi güvenliğinden, IT Servis Yönetimine ve Gıda güvenliğine kadar değişmektedir. Bu standartlar bazı konularda ortak gereklilikleri içermelerine rağmen, ISO bu yönetim sistemi standartlarını farklı yapı ve şekillerde yayınlamıştır. Bu da sonuç olarak uygulama aşamasında karışıklık ve zorluklara sebep olmaktadır. Bu durumu ortadan kaldırmak için bundan sonra yayınlanacak olan tüm ISO yönetim sistemi standartları Annex SL formatına uygun olarak hazırlanacak, ortak olan noktalarında aynı tanım ve metinleri içerecek, ortak başlıkları olacaktır.
 

Ana Yapı

  • 0 Introduction /Giriş
  • 1 Scope /Kapsam
  • 2 Normative references / Atıf yapılan standartlar ve/veya dokümanlar
  • 3 Terms and definitions /Terimler ve tanımlar
  • 4 Context of the organization / Organizasyon Bağlamı
  • 5 Leadership /Liderlik
  • 6 Planning /Planlama
  • 7 Support /Destek
  • 8 Operation /Operasyon
  • 9 Performance evaluation /Performans değerlendirme
  • 10 Improvement /İyileştirme
     

Ortak tanım örnekleri: Kurum, Uyumluluk, Politika, Amaç

Ortak yazı örneği: Üst yönetim belirli roller için sorumluluk ve yetkilerin kişilere atanmış ve iletilmiş olduğundan emin olmalıdır.

2013 Revizyonu Ek-A Başlıkları

Yeni Eklenen Kontrol Hedefleri

A.5 Bilgi Güvenlik Politikası 
A.6 Bilgi Güvenliği OrganizasyonuA.6.1.5 Proje yönetiminde bilgi güvenliği
A.7 İnsan Kaynakları Güvenliği 
A.8 Varlık Yönetimi 
A.9 Erişim Kontrolleri 
A.10 Kriptografi 
A.11 Fiziksel ve Çevresel Güvenlik 
A.12 Operasyon GüvenliğiA.12.6.2 Yazılım Yükleme Kısıtları
A.13 İletişim Güvenliği 
A.14 Sistem Edinimi, Geliştirilmesi ve Bakımı
A.14.2.1 Güvenli yazılım geliştirme politikası
A.14.2.5 Güvenli sistem mühendisliği prensipleri
A.14.2.6 Güvenli yazılım geliştirme ortamı
A.14.2.8 Sistem güvenliği testi
A.15 Tedarikçi İlişkileri
A.15.1.1 Tedarikçi ilişkileri için bilgi güvenlik politikasıı
A.15.1.3 Bilgi ve iletişim teknolojisi tedarik zinciri
A.16 Bilgi Güvenliği İhlal Yönetimi
A.16.1.4 Bilgi güvenliği olaylarını değerlendirme ve karar verme
A.16.1.5 Bilgi güvenliği olaylarının cevaplanması
A.17 İş Sürekliliği Yönetiminin Bilgi Güvenlik AlanlarıA.17.2.1 Bilgi işleme olanaklarının erişilebilirliği
A.18 Uyum 

Ana Değişiklikler Neler?

  • Terminoloji değişiklikleri yapılmış ve bazı tanımlar kaldırılmış veya yeri değiştirilmiştir.
  • Yönetimin bağlılığı gereksinimleri “liderlik” konusu üzerinde odaklanmıştır.Üst yönetimin BGYS’ne (Bilgi Güvenliği Yönetim Sistemi) bağlılık göstermesi ve liderlik etmesi gerekmektedir. Standarda göre üst yönetim bunu aşağıdaki maddeler ile sağlar;
  • 1. BGYS politika ve amaçlarının kurumun strateji ve hedefleri ile uygun olmasını gözetilmesi
  • 2. BGYS gereksinimlerinin organizasyon süreçlerine entegre olmasının sağlanması
  • 3. BGYS için gerekli kaynağın ayrılması
  • 4. BGYS’den beklenen çıktıların alınmasının sağlanması
  • 5. Çalışanların BGYS’nin etkinliğine katkıda bulunması için onlara destek olmak ve yönlendirilmesi
  • 6. Sürekli iyileştirmenin desteklenmesi
  • 7. Kendi liderliklerini pekiştirmek için kendi sorumlulukları dahilinde ilgili yönetim rollerini desteklemek.
  • Önleyici faaliyet kavramı “riskleri ve fırsatları ele alacak aksiyonlar” kavramı ile değiştirilmiştir.
  • Düzeltici faaliyet ise uygunsuzluğa verilen ilk tepki ve bir uygunsuzluğun kök nedenlerini ortadan kaldırmak üzere ikiye ayrılmıştır.
  • Uygulanabilirlik bildirgesi gereksinimleri benzer olmakla birlikte risk iyileştirme süreci kontrolleri için daha anlaşılır hale getirilmiştir.
  • Ek-A kontrolleri değişen tehditleri yansıtacak ve tekrarları kaldıracak şekilde düzenlenmiştir.
  • Amaç belirleme, performans ve ölçümleri izleme konusunun üzerinde daha fazla durulmaktadır.Hedeflerin net olarak tanımlanması ve 9.1 maddesi uyarınca kurumun aşağıdaki maddeleri belirlemesi gerekmektedir;
  • Nelerin ölçülmesi ve izlenmesi gerektiği
  • Bu ölçüm, izleme, analiz ve değerlendirme için geçerli metotların belirlenmesi
  • Ölçme ve izlemenin ne zaman gerçekleştirilmesi
  • Kim/lerin ölçüm ve izleme yapması
  • Ölçüm ve izleme sonuçlarının ne zaman analiz edilmesi ve değerlendirilmesi ve bu sonuçları kimin analiz etmesinin gerektiği
     

Standarda göre BG hedefleri aşağıdaki şekilde olmalıdır.

  • BG politikasına uyumlu
  • Ölçülebilir
  • Kurum içinde yaygınlaştırılmış
  • Risk işleme ve değerlendirme sonuçlarını, BG gereksinimlerini de göz önünde bulunduran
  • Uygun periyotlarla güncellenen
  • Risk değerlendirme gereksinimleri risk sahibi, risk işleme planı kavramlarının eklenmesi ve kurumsal risk yönetimi ile yakınlaştırılması ile ISO 31000 ile örtüşecek şekilde yenilenmiştir.
  • Varlık, açıklık, tehdit temelli risk değerlendirme yerine gizlilik, bütünlük ve erişilebilirlik temelli bir risk tanımlama metodolojisi getirilmiştir. Bu metodolojiye göre riskleri belirlerken varlığa yönelik tehdit ve açıklıkları temel almak kaldırılmıştır. Bunun yerine BGYS’nin bütünlük, erişilebilirlik ve gizlilik unsurlarını etkileyecek olan risklerin belirlenmesi gerekliliği getirilmiştir.
     

“Apply the information security risk assessment process to identify risks associated with the loss of confidentiality, integrity and availability for information within the scope of the informationsecurity management system (ISO 27001:2013, madde 6.1.2; d.1)”
 

  • Varlık sahibi kavramı, risk sahibi kavramı ile değiştirilmiştir. Bu yeni kavramile varlıklar sahiplere atanmayacak olup, her riske bir sahip atanacaktır. Risk sahipleri BG Risk işleme planının ve artık risklerin onaylanmasından sorumludur.
  • Yeni revizyonda risk işleme yönteminin dokümante edilmesi şart koşulmamakla birlikte, risk işleme sürecinin tanımlanması gerekmektedir. Risk işleme süreci genel olarak aşağıdaki adımlardan oluşmaktadır.
  • 1. Risk değerlendirmeleri sonucuna göre BG risk işleme opsiyonlarını belirlemek
  • 2. Seçilen risk işleme opsiyonlarını uygulamak için gerekli olan kontrolleri belirlemek
  • 3. BG risk işleme planını oluşturmak
  • 4. BG risk işleme planının ve kalan risklerin onayını risk sahiplerinden almak.
  • Yeni standart ‘belgeler’ ve ‘kayıtlar’ kavramını birleştirerek ‘dokümante edilmiş bilgi’ kavramını getiriyor.
  • 2005 revizyonunda bulunan dokümantasyon gereksinimlerini ele alan 4.3.1 maddesi kaldırılmıştır.
  • Eski revizyonda bulunan doküman yönetimi, düzeltici faaliyet gibi zorunlu olarak dokümante edilmesi gereken prosedürlerin bu zorunluluğuyeni revizyonda kaldırılmıştır. Fakatilgiliprosedürlerin yönetilmesi ve işletilmesi ile ilgili kayıtların tutulması zorunluluğu bulunmaktadır.Örnek verilecek olunursa, düzeltici faaliyet prosedürü yazılı olarak olmasa bile bu sürecin işletilmesi ile ilgili kayıtların tutulması zorunlu hale getirilmiştir.
  • İletişim konusu ile ilgili olarak yeni bir madde eklenmiş olup bu madde, bilgi güvenliğinin sağlanması için kiminle, ne zaman, kim ve ne hakkında iletişime geçeceğinin tanımlanmasını sağlıyor.
     

Bu Süreçte Firmaları Neler Bekliyor?

Öncelikle halihazırda 27001:2005 sertifikası olan firmaların 25 Eylül 2015 tarihine kadar 2013 revizyonu sertifikasını almaları gerekiyor.
 

Eğer henüz 27001 sertifikanız yoksa 25 Eylül 2014 tarihine kadar 2005 revizyonu sertifikasına veya 2014 yılının başından itibaren 2013 revizyonu sertifikasına başvurabilirsiniz.
 

ISO 27001 ve ISO 27002’nin revize edilmesi ile birlikte gelen değişikliklerin genel olarak risk değerlendirme ve iyileştirme, düzeltici ve önleyici faaliyetler, iletişim, dokümante edilmiş bilgi ve hedefler, izleme ve ölçme konuları ile ilgili olduğu gözlemlenmektedir.
 

Bilginin güvenliğini tam anlamıyla sağlamak için ihtiyaç duyduğunuz Bilgi Güvenliği Danışmanlığı, İnnova’nın hizmet yelpazesi içinde önemli bir yere sahip. ISO 27001 Bilgi Güvenliği Yönetim Sistemi (BGYS) ve buna bağlı diğer gereksinimler konusundaki uyum çalışmalarına danışmanlık hizmeti veren İnnova uzmanları, Forensics, Pentest, ve PCI DSS gibi yetkinlikleri sayesinde bu standartlara uygun bir bilgi güvenliği anlayışının geliştirilmesini sağlar. Uzman bir kadroyla, sürecin tamamında verdiği desteğin ötesinde gerekli olan tüm altyapının sağlanmasını da kapsayan bu hizmet, sektör ve ölçek fark etmeksizin; büyük kurumlardan KOBİ’lere kadar tüm kurumlarda uygulanabilir.
 

ISO 27001 2013 revizyonu ile gelen yenilikleri daha kolay anlatabilmek için aşağıdaki infografiği hazırladık, umarım beğenirsiniz:
 


Kaynakça

[1] ISO/IEC 27001: 2005, Information technology — Security techniques — Information security management systems — Requirements

[2] ISO/IEC 27001: 2013, Information technology — Security techniques — Information security management systems — Requirements

[3] Dejan Kosutic. (2013). ISO 27001 & ISO 22301. 23.10.2013 tarihinde erişildi, http://blog.iso27001standard.com/.

[4] Zeynep Çakır. (2013). ISO 27001:2013 VE ISO 27002:2013’te Neler Değişiyor?. Tübitak BİLGEM. 23.10.2013 tarihinde erişildi, https://www.bilgiguvenligi.gov.tr/bt-guv.-standartlari/iso-27001-2013-ve-iso-27002-2013-te-neler-degisiyor.html.